Wie kann ich HSTS aktivieren?
Zurück zu webhostingIn diesem Artikel erklären wir, wie Sie HTTP Strict Transport Security (HSTS) aktivieren.
Weitere Erklärungen dazu, was HSTS ist, finden Sie in diesem Artikel: Was ist HSTS?
HSTS aktivierenSie können HSTS auf 2 Arten aktivieren, über Ihr Control Panel oder über einen Code in Ihrer .htaccess-Datei.
Im Folgenden erkläre ich zunächst, wie Sie es über Ihr Control Panel aktivieren.
Subdomains mit HSTS ausstatten oder nicht? Eine wichtige Frage ist, ob Sie auch Subdomains mit HSTS ausstatten wollen. Es gibt eine Einstellung (max-age), die angibt, wie viele Sekunden das HSTS aktiv bleiben soll, unser Rat ist, niedrig anzufangen und wenn Sie sicher sind, dass es richtig eingestellt ist, können Sie die (max-age) Periode erhöhen. Ein gutes Beispiel ist, mit 5 Minuten zu beginnen. Wenn dies gut funktioniert, wechseln Sie zu 1 Tag, dann 1 Woche, dann einen Monat, dann ein Jahr.
DirectAdmin Soweit uns bekannt ist, gibt es in DirectAdmin keine Möglichkeit, HSTS mit einem Mausklick zu aktivieren.
Es ist jedoch möglich, die .htaccess-Methode zu verwenden.
cPanelSoweit uns bekannt ist, gibt es in cPanel keine Möglichkeit, HSTS mit einem Mausklickzu aktivieren .
Es ist jedoch möglich, die .htaccess-Methode zu verwenden.
SATserverAnmeldung bei www.satserver.nl
Gehen Sie im Menü auf der linken Seite auf Erweitert --> Serverfunktionen.
Unter Strict-Transport-Security wählen Sie Domain + all subdomains oder Domain Only.
Klicken Sie am Ende auf Anpassen.
PleskMelden Sie sich in der Plesk-Hostingumgebung an
Klicken Sie auf SSL/TLS (siehe Bild unten, falls zutreffend).
Aktivieren Sie dann HSTS auf der linken Seite, wie in der Abbildung unten gezeigt.
Wählen Sie dann den Zeitraum aus.
Kreuzen Sie dann an, ob Sie auch Subdomains mit HSTS versehen wollen oder nicht.
Klicken Sie dann auf die Schaltfläche: "HSTS aktivieren", um es zu aktivieren.
Über htaccess
HSTS aktivieren (auch für Subdomains und mit Preload für 5 Minuten)
Fügen Sie den folgenden Code ein, damit Ihre Domain und Subdomains HSTS verwenden:
Header immer setzen Strict-Transport-Security "max-age=300; includeSubDomains; preload" env=HTTPS
Beachten Sie, dass der obige Code auch Subdomains mit HSTS versorgt, Sie können den Code natürlich nach Ihren Wünschen anpassen.
Wenn Sie Ihre Subdomains nicht mit HSTS ausstatten wollen, können Sie includeSubDomains weglassen; wir werden unten einige Beispiele geben.
Wir haben im obigen Code die max-age auf 300 Sekunden (5 Minuten) gesetzt, damit Sie überprüfen können, ob HSTS richtig funktioniert.
Aktivieren Sie HSTS (einschließlich Subdomains und mit Preload für 5 Tage)
Wenn es richtig funktioniert, können Sie HSTS für einen längeren Zeitraum (z. B. 5 Tage) mit der folgenden Regel aktivieren:
Header immer setzen Strict-Transport-Security "max-age= 432000; includeSubDomains; preload" env=HTTPS
Aktivieren Sie HSTS (einschließlich Subdomains und mit preload für 1 Monat)
Wenn Sie sicher sind, dass 5 Tage auch gut funktionieren, können Sie dann auf einen Monat umstellen (max-age=2592000).
Header immer Strict-Transport-Security "max-age= 2592000; includeSubDomains; preload" env=HTTPS setzen
Aktivieren Sie HSTS (einschließlich Subdomains und mit Preload für 1 Jahr)
Sobald Sie sicher sind, dass dies richtig funktioniert, können Sie mit folgendem Code auf ein Jahr umschalten:
Header immer setzen Strict-Transport-Security "max-age= 31536000; includeSubDomains; preload" env=HTTPS
Sie wird von Webbrowsern nur dann als sicher angesehen, wenn ein Zeitraum von mindestens 1 Jahr verwendet wird.
Sie können den Code nach Belieben ändern, z. B. die Anzahl der Sekunden in der max-age, die Verwendung von includeSubDomains; und den preload.
Wenn Sie nur Ihren Domainnamen mit HSTS ausstatten wollen, nicht aber Ihre Subdomains, können Sie z.B. folgenden Code verwenden:
Header always set Strict-Transport-Security "max-age= 31536000; preload" env=HTTPS
Sie können sich auch dafür entscheiden, preload nicht zu verwenden; in diesem Fall können Sie die Buchstaben: preload weglassen.
Zurück zu webhosting